vidarebefordran av e-post

När ett e-postmeddelande skickas från den sändande servern autentiserar SPF och DKIM (om det är korrekt konfigurerat) e-postmeddelandet normalt och validerar det vanligtvis effektivt som legitimt eller obehörigt. Så är dock inte fallet om e-postmeddelandet passerar via en mellanliggande e-postserver innan det levereras till mottagaren, till exempel vid vidarebefordrade meddelanden. Den här bloggen är avsedd att ta dig igenom effekten av vidarebefordran av e-post på DMARC-autentiseringsresultat.

Som vi redan vet använder DMARC två standardprotokoll för e-postautentisering, nämligen SPF (Sender Policy Framework) och DKIM (DomainKeys Identified Mail), för att validera inkommande meddelanden. Låt oss diskutera dem i korthet för att få en bättre förståelse för hur de fungerar innan vi hoppar vidare till hur vidarebefordran kan påverka dem.

Policyram för avsändare

SPF finns i din DNS som en TXT-post och visar alla giltiga källor som har behörighet att skicka e-post från din domän. Varje e-postmeddelande som lämnar din domän har en IP-adress som identifierar din server och den e-postleverantör som används av din domän och som är värvad i din DNS som en SPF-post. Mottagarens e-postserver validerar e-postmeddelandet mot din SPF-post för att autentisera den och markerar därför e-postmeddelandet som SPF-pass eller misslyckas.

Domäntangenter identifierad e-post

DKIM är ett standardprotokoll för e-postautentisering som tilldelar en kryptografisk signatur, skapad med en privat nyckel, för att validera e-postmeddelanden på den mottagande servern, där mottagaren kan hämta den offentliga nyckeln från avsändarens DNS för att autentisera meddelandena. Precis som SPF finns DKIM-den offentliga nyckeln också som en TXT-post i domänägarens DNS.

Effekten av vidarebefordran av e-post på dina DMARC-autentiseringsresultat

Under vidarebefordran av e-post skickas e-postmeddelandet via en mellanliggande server innan det slutligen levereras till den mottagande servern. För det första är det viktigt att inse att vidarebefordran av e-post kan göras på två sätt - antingen kan e-postmeddelanden vidarebefordrasmanuellt , vilket inte påverkar autentiseringsresultaten, eller det kan vidarebefordrasautomatiskt , i vilket fall autentiseringsproceduren tar en träff om domänen inte har posten för den mellanliggande sändande källan i deras SPF.

Naturligtvis misslyckas vanligtvis SPF-kontrollen under vidarebefordran av e-post eftersom IP-adressen för mellanliggande server inte matchar den sändande serverns, och den nya IP-adressen ingår vanligtvis inte i den ursprungliga serverns SPF-post. Tvärtom påverkar vidarebefordran av e-postmeddelanden vanligtvis inte DKIM-e-postautentisering, såvida inte mellanhandsservern eller vidarespedyrenheten gör vissa ändringar i meddelandets innehåll.

Observera att för att ett e-postmeddelande ska kunna skicka DMARC-autentisering måste e-postmeddelandet skicka antingen SPF- eller DKIM-autentisering och justering. Eftersom vi vet att SPF oundvikligen misslyckas under vidarebefordran av e-post, om den sändande källan är DKIM-neutral och enbart förlitar sig på SPF för validering, kommer den vidarebefordrade e-postmeddelandet att göras olagligt under DMARC-autentisering.

Lösningen? Enkel. Du bör omedelbart välja fullständig DMARC-efterlevnad hos din organisation genom att justera och autentisera alla inkommande meddelanden mot både SPF och DKIM!

Uppnå DMARC-överensstämmelse med PowerDMARC

Det är viktigt att notera att för att uppnå DMARC-efterlevnad måste e-postmeddelanden autentiseras mot antingen SPF eller DKIM eller båda. Men om inte de vidarebefordrade meddelandena valideras mot DKIM och endast förlitar sig på SPF för autentisering, kommer DMARC oundvikligen att misslyckas som diskuterats i vårt tidigare avsnitt. Därför hjälper PowerDMARC dig att uppnå fullständig DMARC-efterlevnad genom att effektivt justera och autentisera e-postmeddelanden mot både SPF- och DKIM-autentiseringsprotokoll. På detta sätt, även om autentiska vidarebefordrade meddelanden misslyckas SPF, kan DKIM-signaturen användas för att validera den som legitim och e-postmeddelandet skickar DMARC-autentisering och landar sedan i mottagarens inkorg.

Undantagsfall: DKIM Misslyckas och hur man löser det?

I vissa fall kan den vidarebefordrande entiteten ändra posttexten genom att göra justeringar i MIME-gränser,implementering av antivirusprogram eller kodning av meddelandet igen. I sådana fall misslyckas både SPF- och DKIM-autentisering och legitima e-postmeddelanden levereras inte.

Om både SPF och DKIM misslyckas kan PowerDMARC identifiera och visa att i våra detaljerade aggregerade vyer och protokoll som Autentiserad mottagen kedja kan utnyttjas av e-postservrar för att autentisera sådana e-postmeddelanden. I ARC kan autentiseringsresultathuvudet överföras till nästa hopp i raden för meddelandeleveransen, för att effektivt minska autentiseringsproblemen vid vidarebefordran av e-post.

Om ett vidarebefordrat meddelande, när mottagarens e-postserver får ett meddelande som hade misslyckats med DMARC-autentisering, försöker den validera e-postmeddelandet en andra gång, mot den autentiserade mottagna kedjan för e-postmeddelandet genom att extrahera ARC-autentiseringsresultaten för det första hoppet, för att kontrollera om det validerades för att vara legitimt innan mellanhandsservern vidarebefordrade det till den mottagande servern.

registrera dig med PowerDMARC idag och uppnå DMARC-efterlevnad på din organisation!